杭州交通信息网voip软件电话:中了w32.Rontokbro@mm蠕虫病毒,怎么杀毒?
来源:百度文库 编辑:杭州交通信息网 时间:2024/04/28 16:19:18
连工具下“文件夹选项”也被改没了。
是一个新的邮件病毒。
还是要养成好的习惯。不明邮件不要随便打开附件。好的习惯胜过一切杀软。
按理来说这麼可疑的附件,还是exe后缀,绝对不应该打开的。
Worm@W32.Rontokbro.2
空白主旨的邮件别乱收,小心 Rontokbro.2 骇虫入侵您的电脑
Rontokbro.2 骇虫会使用自己的 SMTP 引擎传送骇虫邮件,此邮件的主旨是空白的,用户若收到空白主旨的邮件,请先确认是否为不明信件。此骇虫会复制多个病毒档案在电脑内,造成电脑不稳定。
基本介绍
病毒名称 Worm@W32.Rontokbro.2
病毒别名 W32/Rontokbro.gen@MM [McAfee], WORM_RONTOKBRO.J [Trend Micro],W32.Rontokbro.K@mm[symantec]
病毒型态 Worm , E-Mail
病毒发现日期 2005/10/26
影响平台 Windows 95/98/ME , Windows NT/2000/XP/2003
风险评估
散播程度:高
破坏程度:中
Worm@W32.Rontokbro.2信件格式:
发信者: < 随机 >
主旨: 空白
内文:
BRONTOK.A[10] [ By: H[REMOVED]nity ]
-- Hentikan kebobrokan di negeri ini --
1. Penjarakan Koruptor, Penyelundup, Tukang Suap, & Bandar NARKOBA
( Send to "NUSAKAMBANGAN")
2. Stop Free Sex, Aborsi, & Prostitusi
( Go To HELL )
3. Stop pencemaran lingkungan, pembakaran hutan & perburuan liar.
4. SAY NO TO DRUGS !!!
附加档案: Kangen.exe
Worm@W32.Rontokbro.2 行为描述:
注:%Windir%代表系统所在目录,在Win95/98/me系统预设值为 C:\windows
在WinNT/2000/XP/2003系统预设值为 C:\WinNT
注:在Win95/98/me %System% 预设值为 C:\windows\System
在WinNT/2000/XP/2003 %System% 系统预设值为 C:\WinNT\System32
加入一个Windows 工作排程,并且每日下午5:08 执行下列档案:
%UserProfile%\Templates\A.kotnorB.com
当骇虫发现视窗标题含有下列字串并重新开机:
@.
.ASP
.EXE
.HTM
.JS
.PHP
ADMIN
ADOBE
AHNLAB
ALADDIN
..............
骇虫会从下列副档名档案,取得电子邮件地址:
ASP
CFM
CSV
DOC
EML
HTML
PHP
TXT
WAB
透过自己的SMTP大量发送病毒信件。
病毒执行后,将骇虫本身复制到%Windir%
eksplorasi.exe
透过病毒执行后,将骇虫本身复制到%System%
[USER NAME]'s Setting.scr
病毒执行后,在%UserProfile%\Local Settings\Application Data\ 目录产生
csrss.exe
inetinfo.exe
lsass.exe
services.exe
smss.exe
winlogon.exe
病毒执行后,在 %UserProfile%\Start Menu\Programs\Startup\ 目录产生
Empty.pif
病毒执行后,在 %UserProfile%\Templates\ 目录产生
Brengkolang.com
病毒执行后,在 %Windir%\ShellNew\ 目录产生
sempalong.exe
修改登录档,如此开机即会启动骇虫。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"Bron-Spizaetus" = ""%Windir%\ShellNew\sempalong.exe""
"Tok-Cirrhatus" = "%UserProfile%\Local Settings\Application Data\smss.exe""
修改登录档,如此开机即会启动骇虫。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"Shell" = "Explorer.exe "%Windir%\eksplorasi.exe""
中了木马不要着急,我来帮你:
木马的查杀,可以采用自动和手动两种方式。最简单的删除木马的方法是安装杀毒软件(自动),现在很多杀毒软件能删除网络最猖獗的木马,建议安装金山毒霸或安全之星XP,它们在查杀木马方面很有一套!
由于杀毒软件的升级多数情况下慢于木马的出现,因此学会手工查杀非常必要。方法是:
1.)检查注册表
看HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curren Version和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下,所有以“Run”开头的键值名,其下有没有可疑的文件名。如果有,就需要删除相应的键值,再删除相应的应用程序。
2.)检查启动组
木马们如果隐藏在启动组虽然不是十分隐蔽,但这里的确是自动加载运行的好场所,因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为:C:\windows\start menu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell
Folders Startup="C:\windows\start menu\programs\startup"。要注意经常检查这两个地方哦!
3.)Win.ini以及System.ini也是木马们喜欢的隐蔽场所,要注意这些地方
比方说,Win.ini的[Windows]小节下的load和run后面在正常情况下是没有跟什么程序的,如果有了那就要小心了,看看是什么;在System.ini的[boot]小节的Shell=Explorer.exe后面也是加载木马的好场所,因此也要注意这里了。当你看到变成这样:Shell=Explorer.exe wind0ws.exe,请注意那个wind0ws.exe很有可能就是木马服务端程序!赶快检查吧。
4.)对于下面所列文件也要勤加检查,木马们也很可能隐藏在那里
C:\windows\winstart.bat、C:\windows\wininit.ini、Autoexec.bat。
5.)如果是EXE文件启动,那么运行这个程序,看木马是否被装入内存,端口是否打开。如果是的话,则说明要么是该文件启动木马程序,要么是该文件捆绑了木马程序,只好再找一个这样的程序,重新安装一下了。
6.)万变不离其宗,木马启动都有一个方式,它只是在一个特定的情况下启动
所以,平时多注意一下你的端口,查看一下正在运行的程序,用此来监测大部分木马应该没问题的。
另外,你也可以试试用下面的办法来解决:
从网上下一个叫“冰刃”的软件。这是一个绿色免安装的小软件,可以放心使用。
这个是下载地址。
http://www.ttian.net/website/2005/0829/391.html
这个是它的详细用法。
http://www.ccw.com.cn/soft/review/htm2005/20050930_2107Z.htm
一般来说,不管是木马、病毒进入我们的机器后都是“三隐”的即隐进程、隐服务、隐文件的,利害的能将杀毒软件有实时监控给杀死!但在这个冰刃里,它是无法遁身的。开启的非法进程会以红色显示出来。
至于杀毒软件,应该说各人有各人的喜好,下面给出的链接上你看看比较一下:
六款主流杀毒软件横向评测
http://it.sohu.com/2004/05/19/39/article220183986.shtml
消费者该如何选择?六款杀毒软件横向评测(这个要详细些)
http://tech.tom.com/1380/1383/2005513-197230.html